試析VPN網絡技術及應用

王 濤李 哲 魏金婷 賀亞美

（1、中國聯合網絡通信有限公司廊坊市分公司，河北 廊坊 065000；2、中國聯合網絡通信有限公司邢臺市分公司，河北 邢臺 054000；3、中國人民解放軍第六九一六工廠，河北 廊坊 065000）

計算機網絡技術提升使企業內部職能部門，企業外部的供應商、分支機構和外出人員等等，需要同企業總部之間建立快速、安全、穩定的網絡通信環境。怎樣實現這個網絡通信環境，成為時下很多企業在信息網絡化建設方面亟待解決的問題。文章就此闡述了基于VPN網絡的技術及其應用。

1.VPN網絡技術概述

1.1VPN網絡技術定義。VPN的全稱是Virtual Private Network，現在我們一般稱為虛擬專用網絡。它的主要作用就是利用公用網絡將多個私有網絡或網絡節點連接起來。通過這個公用網絡進行連接可以大大降低通信的成本。

目前，一般來說兩臺連接上互聯網的計算機只要知道對方的IP地址，是可以直接通信的。不過位于這兩臺計算機之后的網絡是不能直接互聯的，原因是這些私有的網絡和公用網絡使用了不同的地址空間或協議。

1.2 VPN網絡技術工作原理。VPN通過公眾IP網絡建立了私有數據傳輸通道，將遠程的分支辦公室、商業伙伴、移動辦公人員等連接起來。減輕了企業的遠程訪問費用負擔，節省電話費用開支，并且提供了安全的端到端的數據通訊。

位于這兩臺計算機之后的網絡是不能直接互聯的，原因是這些私有的網絡和公用網絡使用了不同的地址空間或協議，即私有網絡和公用網絡之間是不兼容的。VPN的原理就是在這兩臺直接和公用連接的計算機之間建立一個條專用通道。私有網絡之間的通信內容經過這兩臺計算機或設備打包通過公用網絡的專用通道進行傳輸，然后在對端解包，還原成私有網絡的通信內容轉發到私有網絡中。這樣對于兩個私有網絡來說公用網絡就像普通的通信電纜，而接在公用網絡上的兩臺計算機或設備則相當于兩個特殊的線路接頭。

1.3VPN網絡技術特點

1.31 特點一：成本低。VPN在設備的使用量及廣域網絡的頻寬使用上，都比專線式的架構節省，所以它能使網絡的總成本降低。根據筆者的分析，在 LAN-to-LAN連接時，用 VPN較使用專線的成本節省大約在 30%～50% 左右；而就遠程訪問而言，用 VPN更能比直接撥入到企業內部網絡節省60%～80% 的成本。

1.32 特點二：管理方便。VPN使用了較少的設備來建立網絡，使網絡的管理較為輕松；不論連接的是什么用戶，均需通過VPN隧道的路徑進入內部網絡。

1.33 特點三：網絡架構彈性大。VPN較專線式的架構有彈性，當有必要將網絡擴充或是變更網絡架構時，VPN可以輕易的達到目的，VPN（特別是硬件VPN）的平臺具備完整的擴展性，大至企業總部的設備，小至各分公司，甚至個人撥號用戶，均可被包含于整體的 VPN架構中。

1.34 特點四：技術安全性高。VPN網絡技術主要由三部分組成：隧道技術，數據加密、用戶認證。隧道技術定義數據的封裝形式，并利用IP協議以安全方式在Internet上傳送；數據加密保證敏感數據不會被盜??；用戶認證則保證未獲認證的用戶無法訪問網絡資源。VPN的實現必須保證重要數據完整、安全地在隧道中進行傳輸，因此安全問題是VPN技術的核心問題。目前，在我國VPN的安全保證主要是通過防火墻和路由器，配以隧道技術、加密協議和安全密鑰來實現的，以此確保遠程客戶端能夠安全地訪問VPN服務器。

2.VPN網絡技術應用

VPN網絡技術可以給企業提供多樣化的數據、音頻、視頻等服務以及快速、安全的網絡環境，是企業網絡在互聯網上的延伸。這項技術通過隧道加密技術達到類似私有網絡的安全數據傳輸功能，具有接入方式靈活、可擴充性好、安全性高、抗干擾性強、費用低等特點。它能夠提供Internet遠程訪問，通過安全的數據通道將企業分支機構、遠程用戶、現場服務人員等跟公司的企業網連接起來，構成一個擴展的公司企業網，此外它還提供了對移動用戶和漫游用戶的支持，使網絡時代的移動辦公成為現實。

2.1VPN網絡技術企業內部應用。目前，用于企業內部自建VPN的主要有兩種技術--IP Sec VPN和SSL VPN，IPSecVPN和 SSL VPN主要解決的是基于互聯網的遠程接入和互聯，雖然在技術上來說，它們也可以部署在其它的網絡上，但那樣就失去了其應用的靈活性，它們更適用于商業客戶等對價格特別敏感的客戶。

針對IPSec VPN和SSL VPN兩種技術，目前業內存在著較多爭議。在未來，IPSec的市場份額將下降，而SSL VPN將逐漸上升。用戶在考慮采用哪種技術時經常會遇到兩難的選擇，即安全性與使用便利的沖突。IPSec VPN比較適合中小企業，其擁有較多的分支機構，并通過VPN隧道進行站點之間的連接，交換大容量的數據。企業的數據比較敏感，要求安全級別較高。企業員工不能隨便通過任意一臺電腦就訪問企業內部信息，移動辦公員工的筆記本或電腦要配置防火墻和殺毒軟件。

2.2VPN廣域網解決方案的應用。目前各行業網、專用網的應用主要有兩個方面：一方面作為Internet或其他公用網絡的一部分，組織本行業是信息資源上網；二方面作為一個內部網，為本行業、本系統的內部辦公自動化和業務處理系統服務。兩者都是采用Internet或其他公用網絡技術的IP數據通信。對于各專用網絡兩種應用的第一種應用，其解決方案可以根據網絡的性質和信息資源的服務對象，各地就近接入當地的中國公用計算機互聯網或中國公眾多媒體通信網，完全省去了用于連接跨省的DDN專線，只需在域名規劃和信息主頁設計中統一規劃，統一形象，把有限的人力和物力用于專業的信息資源開發和深加工。

2.3 基于Internet的VPN網絡的應用。在互聯網技術高速發展的今天， Internet環境下的VPN網絡架構 Internet環境下的VPN網絡包括VPN服務器、VPN客戶端、VPN連接、隧道等幾個重要環節。在VPN服務器端，用戶的私有數據經過隧道協議和和數據加密之后在Internet上傳輸，通過虛擬隧道到達接收端，接收到的數據經過拆封和解密之后安全地傳送給終端用戶，最終形成數據交互。

3.VPN網絡技術發展

VPN綜合了傳統數據網絡的安全和服務質量，以及共享數據網絡結構的簡單和低成本，建立安全的數據通道。VPN在降低成本的同時滿足了用戶對網絡帶寬、接入和服務不斷增加的需求。

VPN上傳輸的數據流是經過加密處理的，這條安全通道的協議必須保證數據的真實性、數據的完整性、通道的機密性，提供動態密匙交換功能，提供安全防護措施和訪問控制，抵抗黑客通過VPN通道攻擊企業網絡的能力，并且可以對VPN通道進行訪問控制。

用戶需求將成為VPN技術發展的動力，多形式、多用途、靈活易用、功能強大、服務優異的VPN產品將適用于不同的用戶群，部署在寬帶、窄帶、撥號或者移動通信網絡上。

4.對VPN網絡技術使用中的建議

在目前的企業選擇VPN技術使用時，我們一定要考慮到管理上的要求。一些大型網絡都需要把每個用戶的目錄信息存放在一臺中央數據存儲設備中便于管理人員和應用程序對信息進行添加，修改和查詢。每一臺接入或隧道服務器都應當能夠維護自己的內部數據庫，存儲每一名用戶的信息，包括用戶名，口令，以及撥號接入的屬性等。

為有效的管理VPN系統，網絡管理人員應當能夠隨時跟蹤和掌握以下情況：系統的使用者，連接數目，異?；顒樱鲥e情況，以及其它可能預示出現設備故障或網絡受到攻擊的現象。日志記錄和實時信息對記費，審計和報警或其它錯誤提示具有很大幫助。一臺隧道服務器應當能夠提供以上所有信息以及對數據進行正確處理所需要的事件日志，報告和數據存儲設備。隨著市場應用的擴大，VPN的管理有待進一步加強。

[1]閆曉弟.耶健.基于VPN的電子資源遠程訪問系統的研究與實現.情報雜志，2009(8).

[2]王達等.虛擬專用網(VPN)精解[M].北京：清華大學出版社，2004.

[3]楊永斌.VPN技術應用研究[J].計算機科學，2004，（10）.

[4]王達等.虛擬專用網(VPN)精解[M].北京：清華大學出版社，2004.